forum.opennet.ru - "HELP HELP HELP" (2)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"HELP HELP HELP"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"HELP HELP HELP"
Сообщение от Васька (ok) on 22-Июн-04, 10:06 (MSK)
Спасибо за помощь Citrin, но к сажелению мне этот пример не пригодился.Так как у меня Catalyst 3550 а там на инерфейсе почему то отсутствует параметр out, только лишь in..:-( Помогите плиз с access-листом (Нужен пример).Нужно что бы к машине был доступ а с машины небыло.И почему на интерфейсе отсутствует OUT??????? Заранее Благодарности...:-)
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

HELP HELP HELP, Citrin, 11:37 , 22-Июн-04, (1)
- HELP HELP HELP, V82, 14:45 , 22-Июн-04, (2)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "HELP HELP HELP"

Сообщение от Citrin (ok) on 22-Июн-04, 11:37  (MSK)

>Спасибо за помощь Citrin, но к сажелению мне этот пример не пригодился.Так
>как у меня Catalyst 3550 а там на инерфейсе почему то
>отсутствует параметр out, только лишь in..:-(
>Помогите плиз с access-листом (Нужен пример).Нужно что бы к машине был доступ
>а с машины небыло.И почему на интерфейсе отсутствует OUT???????
У 3550 out есть только на L3 интерфейсах. А на L2 только in. Если у тебя 3550 используетя как L2-свитч ,то можно повесить ACL на ближайшем маршрутизаторе. Если трафик роутится самой 3550 то вешай ACL на L3 интерфейс. Правда трафик в пределах одной подсети контролироваться не будет, но это как правило и не нужно.
А если тебе нужно чтоб даже машины из этой подсети не могли пинговать твой сервер то тогда помомо ACL на L3 интерфейсе, нужно повесть ACL на всех портах из этой же подсети вида
interface FastEthernet0/2
    ip access-group icmp-in in
interface FastEthernet0/3
    ip access-group icmp-in in
ip access-list extended icmp-in
    deny icmp any host 192.168.0.1 echo
    permit ip any any

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "HELP HELP HELP"

Сообщение от V82 (??) on 22-Июн-04, 14:45  (MSK)

делал для 4506, так что и для 3550 должно подойти
какписать access-list для доступа с хоста (например админа - 195.0.0.10) на сервер (196.0.0.10) в другой сети к определённому сервису например телнет.
все остальные соединения запретить.
Пишется лист доступа разрешающий соединения по 23 порту от хоста админа на сервер.
access list 101 permit tcp any any established
access list 101 permit tcp host 195.0.0.10 host 196.0.0.10 eq telnet
Пишется список доступа разрешаюший ответ по 23 порту с сервера на хост админа.
access list 102 permit tcp any any established
access list 102 permit tcp host 196.0.0.10 eq telnet host 195.0.0.10
Далее назначаем на интерфейс листы доступа, на котором висит сервер.
int ethernet 0/1
ip access-group 101 out
ip access-group 102 in
УСЁ

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "HELP HELP HELP"
Сообщение от Citrin (ok) on 22-Июн-04, 11:37 (MSK)
>Спасибо за помощь Citrin, но к сажелению мне этот пример не пригодился.Так >как у меня Catalyst 3550 а там на инерфейсе почему то >отсутствует параметр out, только лишь in..:-( >Помогите плиз с access-листом (Нужен пример).Нужно что бы к машине был доступ >а с машины небыло.И почему на интерфейсе отсутствует OUT??????? У 3550 out есть только на L3 интерфейсах. А на L2 только in. Если у тебя 3550 используетя как L2-свитч ,то можно повесить ACL на ближайшем маршрутизаторе. Если трафик роутится самой 3550 то вешай ACL на L3 интерфейс. Правда трафик в пределах одной подсети контролироваться не будет, но это как правило и не нужно. А если тебе нужно чтоб даже машины из этой подсети не могли пинговать твой сервер то тогда помомо ACL на L3 интерфейсе, нужно повесть ACL на всех портах из этой же подсети вида interface FastEthernet0/2 ip access-group icmp-in in interface FastEthernet0/3 ip access-group icmp-in in ip access-list extended icmp-in deny icmp any host 192.168.0.1 echo permit ip any any
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "HELP HELP HELP"
	Сообщение от V82 (??) on 22-Июн-04, 14:45 (MSK)
	делал для 4506, так что и для 3550 должно подойти какписать access-list для доступа с хоста (например админа - 195.0.0.10) на сервер (196.0.0.10) в другой сети к определённому сервису например телнет. все остальные соединения запретить. Пишется лист доступа разрешающий соединения по 23 порту от хоста админа на сервер. access list 101 permit tcp any any established access list 101 permit tcp host 195.0.0.10 host 196.0.0.10 eq telnet Пишется список доступа разрешаюший ответ по 23 порту с сервера на хост админа. access list 102 permit tcp any any established access list 102 permit tcp host 196.0.0.10 eq telnet host 195.0.0.10 Далее назначаем на интерфейс листы доступа, на котором висит сервер. int ethernet 0/1 ip access-group 101 out ip access-group 102 in УСЁ
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх